• / 15

VRF技术白皮书.docx

配套讲稿:

如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

特殊限制:

部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

关 键  词:
VRF技术白皮书.docx
资源描述:

《VRF技术白皮书.docx》由会员分享,可在线阅读,更多相关《VRF技术白皮书.docx(15页珍藏版)》请在微传网上搜索。

1、VRF( (VPN Routing & Forwarding Instance) 技术白皮书1 原理简介近年来网络VPN技术方兴未艾,日益成为业界关注的焦点。根据VPN实现的技术特点,可以把VPN技术分为以下三类:传统VPN :FR和ATMCPE-based VPN: L2TP和IPSec等。

2、Provider Provisioned(预定)VPNs ( PP-VPN ): MPLS L2VPN和MPLS L3VPN。本文介绍的VRF特性是MPLS VPN中经常使用的技术,中文含义为VPN路由转发实例。鉴于VRF与MPLS VPN密切相关,下面首先对MPLS VPN作简要介绍。图 1 是一个典型的MPLS L3VPN。

3、的组网图,运营商通过自己的IP/MPLS(IP/ 多协议标签交换)核心网络为 BLUE和YELLOW两个客户提供VPN服务。SITE1和SITE3分别为VPN BLUE的两个站点,SITE2和 SITE4分别为VPN YELLOW的两个站点。VPN BLUE两个站点内的主机可以互访,但不能访问VPN。

4、YELLOW 内的主机。同样,VPN YELLOW 两个站点内的主机可以互访, 但不能访问从而实现了两个 VPN 间的逻辑划分和安全隔离。VPN BLUE内的主机。CE :设备的作用是把 用户网络 连接到 PE ,与 PE 交互 VPN 用户路由信息: 向 PE 发布本地路由并从 PE 学习远端站点路由。PE :作用是向直连的 CE 学习路由, 然后通过 IBGP (内部 BGP 协议,即内部边界网关协议 )与其他 PE 交换所学的 VPN 路由。 PE 设备负责 VPN 业务的接 入。P :设备是运营商网。

5、络中不与CE直接相连的设备,只要支持MPLS转发, 并不能感知到VPN的存在。(标签交换路径)图 1上面组网中VPN的设计思想是很巧妙的,但存在如下几个问题:1、 本地路由冲突问题,即:在BLUE和YELLOW两个VPN中可能会使用相同的IP 地址段,比如。

6、10.1.1.0/24,那么在PE上如何区分这个地址段的路由是属于哪个VPN的。2、 路由在网络中的传播问题,上述问题会在整个网络中存在。3、PE 向 CE的报文转发问题,当PE接收到一个目的地址在10.1.1.0/24网段内的IP 报文时,他如何判断该发给哪个VPN ?针对上述 3 个问题,分别有以下解决方案:1、 为了解决本地路由冲突问题, 。

7、我们引入了 VRF 的概念:把每台 PE 路由器在逻辑上划分为多台虚拟路由器,即多个 VPN 路由转发实例 VRF ,每个 VRF 对应一个 VPN ,有自己独立的路由表、转发表和相应的接口 。这就相当于将一台各 VPN 共享的 PE 模拟成多台专用 PE 。这样 PE 与 CE 交互的路由信息只是该 VPN 的路由,从而实现了 VPN 路由的隔离。 由于不同 VPN 的路由存放在不同的 VRF 中,所以 VPN 路由重叠的问题也解决了。在 SR (也就是PE ?)上新加一个网1 )ip vpn-instance VRF/route-distin。

8、guisher RD/Distinguisher ),用户对端同一宣告 ip VPN 路由转发实例,即新加VPN网的名称宣告该 VPN网的路由识别符号(RD:RouteVPN 的识别vpn-target RT export-extcommunity /通过RT( Route Target)表示我对哪些路由感兴趣vpn-target RT import-extcommunity /通过RT表示我发出的路由属性2)bgp 65241。

9、ipv4-family vpn-instance VRFdefault-route imported/import-route directimport-route static默认路由为接收2、VPN 重叠路由在网络中的传播问题,可以在路由传递的过程中为这条路由再添加一个标识,用以区别不同的 VPN 。协议只能传递 IPv4 的路由, 由于不同 VPN 用户具有正常的 BGP4地址空间重叠的问题,必须修改BGP 协议。 BGP 最大的优点是扩展性好,可。

10、以在原来的基础上再定义新的属性, 通过对 BGP 修改,把 BGP4 扩展成 MP-BGP 。在 MP-IBGP邻居间传递 VPN 用户路由时打上RD 标记等 VPN 信息 ,这样 CE 传来的 VPN 用户的IPv4 路由被 PE 转换为 VPN-IPv4路由,这样就能保证对端PE 能够区分开属于不同VPN 用户的地址重叠的路由。3、 PE 向 CE 的报文转发问题, 由于 IP 报文的格式不可更改,没有什么文章可以做,但可以在IP头之外加上一些信息(标签),由始发的VPN 打上标记,。

11、这样PE 在接收报文时可以根据这个标记进行转发。每一个 VRF 可以看作一台虚拟的路由器,好像是一台专用的PE 设备。该虚拟路由器包括如下元素:一张独立的路由表/转发表,当然也包括了独立的地址空间。一组归属于这个VRF 的接口集合。一组只用于本VRF 的路由协议。对于每个 PE ,可以维护一个或多个VRF ,同时维护一个公网的路由表(也叫全局路由表),多个 VRF 实例相互分离独立 。实现 VRF 并不困难, 关键在于如何在 PE 上使用特定的策略规则来协调各 VRF 和全局路由表。

12、之间的关系。在 VRF 中定义的和VPN 业务有关的两个重要参数是RT 和 RD ,RT 和 RD 长度都是 64bit 。RT:是Route Target的缩写,RT的本质是每个VRF表达自己的路由取舍及喜好的方式,主要用于控制VPN路由的发布和安装策略。分为import和export两种属性,前者表示了我对那些路由感兴趣,而后者表示了我发出的路由的属性。当PE。

13、 发布路由时,将使用路由所属VRF 的RT export 规则,直接发送给其他的PE 设备。对端PE 接收路由时,首先接收所有的路由,并根据每个 VRF配置的 RT 的 import 规则进行检查, 如果与路由中的RT 属性 match ,则将该路由加入到相应的VRF 中 。以下图为例:SITE-1 :我发的路由是蓝色的,我也只接收蓝色的路由。SITE-2 :我发的路由是黄色的,我也只接收黄色的路由。SITE-3 :我发的路由是蓝色的,我也只接收蓝色的路由。SITE-4 :我发的路由是黄色的,我。

14、也只接收黄色的路由。这样, SITE-1 与 SITE-3 中就只有自己和对方的路由,两者实现了互访。同理SITE-2 与 SITE-4也一样。这时我们就可以把SITE-1 与 SITE-3称为 VPN BLUE ,而把 SITE-2 与 SITE-4 称为 VPN YELLOW 。图 2RD:是Route Distinguisher的缩写,是说明路由属于哪个。

15、VPN的标志。理论上可以为每个VRF配置一个RD ,通常建议为每个 VPN 的 VRF 都配置相同的RD ,并且要保证这个RD 全球唯一 。如果两个VRF 中存在相同的地址,但是由于RD 不同,这两个路由在PE 间发布过程中也不会混淆,因为MP BGP把 RD 和路由一起发送,对端 PE 可以根据RD 确定路由所属的VPN ,从而把路由安装到正确的中。RD 并不会影响不同VRF 之间的路由选择以及VPN 的形成,这些事情由RT 搞定。PE 从 CE 接收的标。

16、准的路由是IPv4 路由, 如果需要发布给其他的PE 路由器, 此时需要为这条路由附加一个RD 。在 IPv4 地址加上RD 之后,就变成VPN-IPv4地址族了 。VPN-IPv4地址仅用于服务供应商网络内部。在PE 发布路由时添加,在PE 接收路由后放在本地路由表中,用来与后来接收到的路由进行比较。CE不知道使用的是VPN-IPv4地址。2 组网应用2.1 VRF与MPLS组合应用。

17、下面以图3 为例说明MPLS VPN与 VRF的典型应用:组网中两个用户站点SITE1和 SITE2属于同一个VPN ,在两个PE 上分别配置VRF参数,其中VRFSITE1的 RD=100:1,import RT =100:3,export RT =100:2,VRF SITE2的 RD=100:1,import RT =100:2,ex。

18、port RT =100:3。通过VRF的配置可见:两个VRF的 RD同为100:1 ,说明他们属于同一个VPN ;VRF SITE1接收对方的导入和导出的RT 分别等于VPN 站点内的路由;VRF SITE2导出和导入的RT ,说明两个VRF分别可以PE 连。

19、接CE的接口与VRF绑定, 说明该接口是属于对于VRF的资源, 其他VRF和公网是看不到的 。PE 和 CE 之间可以运行OSPF(开放最短路径优先)、RIP2( Routing Information Protocol路由信息协议)、 EBGP ()和静态路由。运营商网络要求为MPLS 网络,在PE1 和 PE2,之间建立LSP ,同时PE1与PE2间通过。

20、MP-IBGP来传播VPN路由。BGP和路由协议的相关配置请参考VRP操作手册和命令手册。S/0/0S/0/1图 3VPN SITE1内的一条路由10.10/16被通告到VPN SITE2的过程如下:PE1 从接口 S0/0。

21、 上学习到由CE1的接口,所以PE1 把该路由安装到对应通告的VRF10.10.0.0/16的路由,由于S0/0 是绑定到的路由表中, 并且分配该路由的本地标签,VRF注意该标签是本地唯一的。然后通过路由重新发布把VRF路由表中的路由重新发布到BGP中,此时通过附加VRF表的RD、RT参数,把正常的IPv4路由变成VPN-IPv4。

22、路由,如 10.10.0.0/16变成100:1:10.10.0.0/16,同时把exportRT值和该路由的本地标签值等信息一起通过MP-IBGP会话通告给PE2 。PE2 收到这条 VPN-IPv4 路由所带的 RD 值,使之恢复路由后,先根据RD 确定该路由所属的VRF ,然后去掉IPv4 路由原貌,并且根据所属VRF 配置的导入策略(本地VPN-IPv4Import RT与收到的export 。

23、RT是否一致)决定是否在本地VRF中安装此路由。本例中导入策略允许,所以PE2把10.10.0.0/16路由添加到VRF路由表中, 同时记录对应的标签。PE2再通过CE和PE之间的路由协议,把10.10.0.0/16路由通过与VRF绑定的接口S0/1通告出去,CE2学习到这条路由后把该。

24、路由添加到路由表中。同样的道理SITE2内的路由10.11.0.0/16也可以被CE1学到。下面说明从CE2 Ping 10.10.0.0/16时数据报文的转发过程(假设PE1为该路由分配的标签为10 ,从PE2到 PE1的 LSP标签分别为L1 、 L2 ):。

25、图 4首先Ping包从CE2发出,为IPv4报文,在图中用绿色方块标识。当 IP 报文到达PE2时, PE2根据目的地址查找VRF的转发表 ,发现该路由出标签为10 ,同时该路由下一跳为PE1 ,而PE1对应的LSP标签为L1 ,于是PE2给报文分别打上10 、L1 作为内外层标签,进。

26、行MPLS转发。MPLS 报文到达P 时, P 根据MPLS 报文到达PE1 时,因为内层标签10 判断出该报文是发往MPLS 转发表项把外层标签替换为L2 继续转发 。PE1 是 LSP 的终点, 所以外层标签被剥掉。PE1 根据露出的SITE1所属 VPN 的报文。于是PE1 剥掉内层标签向CE1 转发IP报文。CE1收到的是还原后的IP报文,后续处理与正常IP处。

27、理流程一样,这里不再赘述。2.2 VRF lite特性应用尽管 VRF 经常与 MPLS 一起使用,但 VRF 也可以脱离MPLS 单独应用。 VRF lite 就是典型例子。 VRFlite 就是在 CE 设备上支持VRF 。图 5 所示为典型MPLS VPN组网中用户侧网络,一个企业分支内部的三个部门要求相互隔离,分别通过一台 CE 连接到 PE ,形成一个VPN 。可见,该分支机构需要三台出口路由器,三条链路与PE连接;同时 PE 需要为一个企业用户提供三个接口,这将带来端口、。

28、链路资源的浪费,直接导致成本与支出的增加。图 5针对这种情况,我们引入VRF lite 特性来解决问题,即在CE 上配置 VRF 特性 。具体组网如图6 所示:此时企业分支只需要一台CE 路由器与 PE 相连,在 CE 上配置 VRF ,CE 连接三个部门的接口分别与VRF 绑定 。同时 CE 只需要一条物理链路与PE 相连,并通过链路的子接口分别与VRF 绑定,完成CE 与PE。

29、上对应VRF的逻辑连接。PE与 CE可以在各个VRF中运行动态路由协议完成VPN路由交换 。PE上的配置和图5 中的一样,需要配置VRF和 MP-IBGP。。

30、图 6这种方案的优点有:只需要一个CE,比多 CE 情况简化了网络的配置和管理;PE 与 CE 间只需一条物理链路;节省了 PE 端口资源;允许企业内部不同部门间的地址重叠;3 应用场合VRF 特性用于实现VPN 的需求,可以与MPLS配合使用,也可以单独组网应用4 配置举例4.1 VRF 与 MPLS组合应用图 3 所示的组网配置如下:CE1 配置:#sysname CE1#domain system#co。

31、ntroller T3 3/0using t3#interface Aux0async mode flow#interface Ethernet0/0 /*连接 site1 内的网络 */ip address 10.10.0.1 255.255.0.0#interface Ethernet0/1#interface Serial3/0/0link-protocol pppip address 100.10.0.1 255.255.0.0# interface 。

32、 NULL0#interface LoopBack9ip address 28.40.1.1 255.255.255.255#ospf 1 import-route direct area 0.0.0.0network 100.10.0.0 0.0.255.255#user-interface con 0 idle-timeout 0 0 user-interface aux 0 user-interface vty 0 4#returnPE1 配置:#sysname PE1#。

33、mpls lsr-id 28.40.1.2# /* 公网运行 MPLS*/mpls#mpls ldp# /*VRF 配置 */( 在 PE 上宣告,做接口)ip vpn-instance site1route-distinguisher 100:1vpn-target 100:2 export-extcommunityvpn-target 100:3 import-extcommunity#domain system#controller T3 3/0using t3#。

34、interface Aux0async mode flow#interface Ethernet0/0 /*连接 P 的接口 */ip address 172.16.32.59 255.255.0.0mplsmpls ldp enable#interface Ethernet0/1# interface Serial0/0 /*连接 CE 的接口 */ip binding vpn-instance site1link-protocol pppip address 100.。

35、10.0.2 255.255.0.0#interface NULL0# interface LoopBack9ip address 28.40.1.2 255.255.255.255#bgp 100 /* 配置 MP iBGP*/undo synchronizationgroup in100 internalpeer in100 connect-interface LoopBack9peer 46.80.1.1 group in100 /*46.80.1.1#ipv4-family vpn-i。

36、nstance blueimport-route directimport-route ospfundo synchronization#ipv4-family vpnv4peer in100 enablepeer 46.80.1.1 group in100#ospf 1 /*IP网络上跑OSPF*/是PE2的。

37、loopback口地址*/import-route directarea 0.0.0.0network 172.16.0.0 0.0.255.255#ospf 100 vpn-instance site1 /*VRF中运行OSPF ,与 CE 交换路由 */import-route directarea 0.0.0.0network 100.10.0.0 0.。

38、0.255.255#user-interface con 0idle-timeout 0 0user-interface aux 0user-interface vty 0 4#return说明:PE2 和 CE2 的配置与PE1 和 CE1 类似,此处不再列出。关于 BGP 和 MPLS 的配置,请参考操作手册和命令手册4.2 VRF lite特性应用图 6 中各路由器的配置如下CE 的配置:#sysname 。

39、CE#ip vpn-instance MRT /*VRF MRT */route-distinguisher 100:1vpn-target 100:1 export-extcommunityvpn-target 100:1 import-extcommunity#ip vpn-instance RD /*VRF RD */route-distinguisher 200:1vpn-target 200:1 export-extcommunityvpn-target 200:1 import-extcommunity。

40、#ip vpn-instance HR /*VRF HR */route-distinguisher 300:1vpn-target 300:1 export-extcommunityvpn-target 300:1 import-extcommunity#domain system#local-user admin#interface Aux0async mode flow#interface Ethernet0/0ip address 110.11.0.2 255.255。

41、.0.0 /*#interface Ethernet0/1ip address 110.12.0.2 255.255.0.0 /*#interface Ethernet2/0ip address 110.13.0.2 255.255.0.0 /*#interface Ethernet2/1#interface Ethernet2/1.1 /*VRF MRT。

42、连接 MRT 部门 */连接 RD 部门 */连接 HR 部门 */的子接口 */ip binding vpn-instance MRTip address 11.11.0.2 255.255.0.0 vlan-type dot1q vid 1#interface Ethernet2/1.2 /*VRF RD ip binding vpn-。

43、instance RDip address 11.12.0.2 255.255.0.0 vlan-type dot1q vid 2 #interface Ethernet2/1.3 /*VRF HR ip binding vpn-instance HRip address 11.13.0.2 255.255.0.0 vlan-type dot1q vid 3#interface Serial1/0link-protocol pppip address ppp-negotiate#interface NULL0#。

44、ospf 1 vpn-instance MRT /*VRF MRT import-route directarea 0.0.0.0network 11.11.0.0 0.0.255.255#ospf 2 vpn-instance RD /* VRF RD import-route direct area 0.0.0.0network 11.12.0.0 0.0.255.255#ospf 3 vpn-instance HR /* VRF HR import-route directarea 0.0.0.0network 。

45、11.13.0.0 0.0.255.255#user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#returnPE 的配置:#sysname 2840的子接口 */的子接口 */。

46、与 PE 跑 ospf*/与 PE 跑 ospf */与 PE 跑 ospf */#mpls lsr-id 28.40.0.1#mpls#mpls ldp#ip vpn-instance MRT /* VRF MRT */route-distinguisher 100:1vpn-target 100:1 export-extcommunityvpn-target 100:1 import-extcom。

47、munity#ip vpn-instance RD /* VRF RD */route-distinguisher 200:1vpn-target 200:1 export-extcommunityvpn-target 200:1 import-extcommunity#ip vpn-instance HR /* VRF HR */route-distinguisher 300:1vpn-target 300:1 export-extcommunityvpn-target 300:1 import-extcommu。

48、nity#interface Aux0async mode flow#interface Ethernet0/0ip address 172.16.0.2 255.255.0.0mplsmpls ldp enable#interface Ethernet0/1ip address 11.13.0.1 255.255.0.0#interface Ethernet0/1.1 /* VRF MRT的子接口*/ip binding vpn-instance。

49、 MRTip address 11.11.0.1 255.255.0.0vlan-type dot1q vid 1#interface Ethernet0/1.2 /* VRF RD的子接口*/ip binding vpn-instance RDip address 11.12.0.1 255.255.0.0vlan-type dot1q vid 2#interface Ethernet0/1.3 /* VRF HR的子接口*/ip。

50、 binding vpn-instance HRip address 11.13.0.1 255.255.0.0vlan-type dot1q vid 3#interface NULL0#interface LoopBack0ip address 28.40.0.1 255.255.255.255#bgp 10 /*BGP*/undo synchronizationgroup 10 internalpeer 10 connect-interface LoopBack0peer 28.80。

展开阅读全文
  微传网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:VRF技术白皮书.docx
链接地址:https://www.weizhuannet.com/p-11856200.html
微传网是一个办公文档、学习资料下载的在线文档分享平台!

网站资源均来自网络,如有侵权,请联系客服删除!

 网站客服QQ:80879498  会员QQ群:727456886

copyright@ 2018-2028 微传网版权所有

     经营许可证编号:冀ICP备18006529号-1 公安局备案号:13028102000124

收起
展开